朱幼恩 尹冬梅

[摘 要]歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）從2018年5月25日開始實(shí)施，其主要特點(diǎn)有法律適用范圍廣、個(gè)人信息概念泛化和數(shù)據(jù)主體的權(quán)利類型增加等，對(duì)目標(biāo)市場(chǎng)為歐盟的中國(guó)跨境電商企業(yè)的運(yùn)營(yíng)帶來巨大挑戰(zhàn)。同時(shí)，GDPR也為中國(guó)跨境電商企業(yè)提供了改進(jìn)數(shù)據(jù)管理、獲取客戶信任、增強(qiáng)競(jìng)爭(zhēng)力的機(jī)遇。企業(yè)應(yīng)從領(lǐng)導(dǎo)層提升緊迫感、啟動(dòng)合規(guī)工作小組、進(jìn)行風(fēng)險(xiǎn)評(píng)估、聘用數(shù)據(jù)保護(hù)官、加強(qiáng)員工管理與培訓(xùn)、制定獎(jiǎng)懲計(jì)劃等方面采取積極應(yīng)對(duì)措施。

[關(guān)鍵詞]GDPR；跨境電商；數(shù)據(jù)保護(hù)；營(yíng)銷

[中圖分類號(hào)]F724.6

[文獻(xiàn)標(biāo)識(shí)碼]A

[文章編號(hào)]2095-3283（2018）08-0093-03

Abstract： The EU General Data Protection Regulations （GDPR） have been implemented. Its main features are long-arm jurisdiction， generalization of personal information concepts and increased types of rights of data subjects. It poses a huge challenge to the sales and operation of Chinas cross-border e-commerce companies with target markets for the EU. GDPR also provides an opportunity for Chinese cross-border e-commerce companies to use and manage corporate data responsibly， while at the same time treating customers more securely and gaining competitiveness. Companies can respond positively to leadership urgency， launching compliance teams， conducting risk assessments， hiring data protection officers， and developing employee compliance rewards and penalties.

Keywords： GDPR； Cross-border E-commerce； Data Protection； Marketing

[作者簡(jiǎn)介]朱幼恩（1982-），男，江西貴溪人，講師，碩士，研究方向：國(guó)際經(jīng)濟(jì)與貿(mào)易；尹冬梅（1973-），女，江西蓮花人，副教授，碩士，研究方向：國(guó)際貿(mào)易、網(wǎng)絡(luò)營(yíng)銷。

歐盟2016年出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR）已于2018年5月25日全面實(shí)施。GDPR對(duì)個(gè)人信息保護(hù)的范圍之廣、實(shí)施標(biāo)準(zhǔn)之高、監(jiān)管力度之大均前所未有，被稱為“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法案。GDPR的目標(biāo)是保護(hù)歐盟公民免受隱私和數(shù)據(jù)泄露的影響，同時(shí)重塑歐盟的組織機(jī)構(gòu)處理隱私和數(shù)據(jù)保護(hù)的方式。GDPR的實(shí)施為經(jīng)營(yíng)和開拓歐盟市場(chǎng)的中國(guó)跨境電商企業(yè)帶來很大困難?？缇畴娚唐髽I(yè)面臨實(shí)踐數(shù)據(jù)信息管理這一巨大挑戰(zhàn)，勢(shì)必對(duì)中國(guó)跨境電商企業(yè)在歐盟市場(chǎng)的運(yùn)營(yíng)產(chǎn)生顯著影響。同時(shí)，GDPR的實(shí)施也是一次機(jī)遇，會(huì)讓部分跨境電商企業(yè)從競(jìng)爭(zhēng)中脫穎而出。

一、GDPR的主要特點(diǎn)

GDPR共有十一個(gè)章節(jié)，分別為總則、原則、數(shù)據(jù)主體權(quán)利、控制者和處理者、個(gè)人數(shù)據(jù)向第三國(guó)或國(guó)際組織的傳輸、獨(dú)立的監(jiān)督組織、合作與協(xié)調(diào)、補(bǔ)救措施、責(zé)任及處罰、特定數(shù)據(jù)處理情形下的相關(guān)規(guī)定、委托與實(shí)施行為、最終條款。GDPR在許多方面都有明顯的創(chuàng)新，但最引人注目的是適用范圍擴(kuò)大、個(gè)人信息概念寬泛、數(shù)據(jù)主體的權(quán)利類型增加。

（一）法律適用范圍廣

GDPR第三條第一款：只要數(shù)據(jù)控制人或數(shù)據(jù)使用人在歐盟境內(nèi)設(shè)有辦公地點(diǎn)，且對(duì)個(gè)人信息的收集和使用屬于該機(jī)構(gòu)的業(yè)務(wù)活動(dòng)范圍，無論收集和使用行為是否發(fā)生在歐盟境內(nèi)，該數(shù)據(jù)控制人或數(shù)據(jù)使用人都應(yīng)遵守GDPR?？梢赃@樣理解，只要有效、實(shí)際地收集和使用了個(gè)人信息，哪怕中國(guó)跨境電商企業(yè)在歐盟國(guó)家只有一個(gè)工作人員的辦公室也足以構(gòu)成所謂辦公地點(diǎn)。

此外，第三條第二款：兩種特殊情形下（向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)，無論有償或無償；屬于監(jiān)控?cái)?shù)據(jù)主體在歐盟境內(nèi)的行為），只要數(shù)據(jù)控制人或使用人收集或使用了歐盟境內(nèi)數(shù)據(jù)主體的個(gè)人信息，即使其并未在歐盟境內(nèi)設(shè)有辦公地點(diǎn)也要遵守GDPR。

（二）個(gè)人信息概念泛化

GDPR第四條：已經(jīng)或者能夠通過直接或間接的方式識(shí)別自然人的信息為個(gè)人信息。這種解釋非常寬泛，對(duì)跨境電商企業(yè)而言，用戶的交易信息如銀行賬號(hào)、地址和聯(lián)系方式等屬于個(gè)人信息，IP地址和設(shè)備標(biāo)識(shí)符也被視為個(gè)人信息。企業(yè)獲取此類信息的行為即收集個(gè)人信息行為。而如果商家收集了這些信息，不論是個(gè)人的，職業(yè)相關(guān)的，還是公開的信息，都需要遵守GDPR的要求。

由于個(gè)人信息概念解釋的寬泛，企業(yè)在判定某一數(shù)據(jù)是否能夠識(shí)別自然人時(shí)，要將合理范圍內(nèi)所有可以采用的技術(shù)、非技術(shù)手段，以及該數(shù)據(jù)和數(shù)據(jù)控制人或使用人持有的其他信息之間的關(guān)系等因素通通考慮進(jìn)去。對(duì)于特殊類別的個(gè)人信息，比如遺傳數(shù)據(jù)和生物特征數(shù)據(jù)，GDPR還規(guī)定了更嚴(yán)格的保護(hù)措施。

（三）數(shù)據(jù)主體的權(quán)利類型增加

GDPR賦予了數(shù)據(jù)主體多項(xiàng)權(quán)力，并要求組織加以落實(shí)。包括知情權(quán)、訪問權(quán)、更正權(quán)、可攜帶權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、反對(duì)權(quán)、自動(dòng)化個(gè)人決策相關(guān)權(quán)等。對(duì)我國(guó)跨境電商企業(yè)而言，最大的挑戰(zhàn)主要來自于新增的刪除權(quán)（被遺忘權(quán)）和可攜帶權(quán)。

1.刪除權(quán)（被遺忘權(quán)）。

GDPR 規(guī)定了刪除權(quán)（被遺忘權(quán)）的構(gòu)成要素：主體、客體、適用條件、例外情況以及違反的處罰措施。該權(quán)利意味著數(shù)據(jù)主體對(duì)數(shù)據(jù)擁有更多的自主決定權(quán)。GDPR第17條對(duì)刪除權(quán)（被遺忘權(quán)）的定義進(jìn)行了總體性的概括：在充分尊重表達(dá)自由的前提下，數(shù)據(jù)主體可以要求他人刪除網(wǎng)站上與其有關(guān)的個(gè)人信息；服務(wù)者也必須從自身的服務(wù)器上隨時(shí)并不拖延地刪除侵權(quán)信息，同時(shí)需要盡力刪除第三方服務(wù)器上有關(guān)的侵權(quán)信息。

2.可攜帶權(quán)。

GDPR給個(gè)人數(shù)據(jù)主體添加了一個(gè)對(duì)個(gè)人數(shù)據(jù)持續(xù)控制的權(quán)利。GDPR第20 條：數(shù)據(jù)控制者在處理數(shù)據(jù)主體提供的與其相關(guān)的個(gè)人數(shù)據(jù)時(shí)，數(shù)據(jù)主體有權(quán)要求獲得該數(shù)據(jù)的副本，且可進(jìn)一步使用而不受控制。具體表現(xiàn)為數(shù)據(jù)主體：有權(quán)從數(shù)據(jù)控制者處獲得以結(jié)構(gòu)化、通用化、可機(jī)讀形式呈現(xiàn)的個(gè)人數(shù)據(jù)；有權(quán)將該數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者而不受原數(shù)據(jù)控制者的阻礙；有權(quán)在技術(shù)允許的情況下要求該數(shù)據(jù)控制者直接將上述數(shù)據(jù)轉(zhuǎn)移給另一個(gè)數(shù)據(jù)控制者。

二、GDPR的實(shí)施對(duì)中國(guó)跨境電商企業(yè)的影響

GDPR正式生效后，跨境電商企業(yè)所熟知的數(shù)字世界將劇變。首先，GDPR的要求更高，需要企業(yè)投入大量的人力、財(cái)力才能得以實(shí)現(xiàn)，即企業(yè)合規(guī)成本上升。其次，很多企業(yè)賴以生存的營(yíng)銷手段、技術(shù)優(yōu)勢(shì)都將不復(fù)存在。GDPR的實(shí)施為中國(guó)跨境電商企業(yè)具體業(yè)務(wù)的開展帶來了挑戰(zhàn)。

（一）企業(yè)告知客戶信息必須透明

透明性原則是GDPR的核心原則之一：控制者必須以透明的方式如實(shí)告知數(shù)據(jù)主體收集、使用、查閱或以其他方式處理與其有關(guān)的個(gè)人數(shù)據(jù)以及處理或?qū)⑻幚碓搨€(gè)人數(shù)據(jù)的程度。要求任何與個(gè)人數(shù)據(jù)處理有關(guān)的信息和通信都必須易得易取，而且要使用清晰、簡(jiǎn)明的語言。因此，企業(yè)在技術(shù)條件允許的情況下，可以在自家網(wǎng)站或店鋪上創(chuàng)建一個(gè)專門的網(wǎng)頁(yè)供客戶提出數(shù)據(jù)請(qǐng)求，并發(fā)布一份公告，說明客戶數(shù)據(jù)是如何使用和處理的。

（二）交易過程中處理客戶信息須更加謹(jǐn)慎

以亞馬遜平臺(tái)電商賣家為例：在銷售過程中，客戶A下了訂單，收到貨后不想要了，要求退貨，而此時(shí)正好客戶B也下了同樣的訂單，賣家為了圖方便，把客戶B的信息提供給A，讓A把貨物發(fā)到B處去，如果A和B中的某個(gè)人或者兩人同時(shí)去投訴或者起訴，那么企業(yè)的行為屬于違法。另外，GDPR要求企業(yè)必須保存消費(fèi)者在每筆交易中的所有詳細(xì)信息。當(dāng)企業(yè)與客戶完成一筆交易后，與客戶就用戶數(shù)據(jù)簽署相關(guān)條約，其中每個(gè)自動(dòng)勾選的選項(xiàng)都需要被設(shè)置為“未選中”，允許客戶進(jìn)行自行選擇。即符合 GDPR 的數(shù)據(jù)需取得用戶的明確同意原則。

（三）傳統(tǒng)郵件營(yíng)銷推薦產(chǎn)品方式難以為繼

以亞馬遜為例，跨境電商企業(yè)往往通過電子郵件向用戶推送購(gòu)買建議，這種方式的轉(zhuǎn)化率比較高，亞馬遜有35%的轉(zhuǎn)化來自于它的推薦機(jī)制。亞馬遜會(huì)通過電子郵件廣告或者網(wǎng)站主頁(yè)進(jìn)行有針對(duì)性的直接推薦。跨境電商企業(yè)每次上新品、做測(cè)評(píng)、做秒殺活動(dòng)，都會(huì)通過給客戶發(fā)電子郵件的形式來做郵件營(yíng)銷。

但目前歐盟的電子郵件營(yíng)銷處于必須用戶同意選擇接收郵件才能發(fā)送的運(yùn)作方式，一旦消費(fèi)者不同意，跨境電商企業(yè)就不能像以往肆無忌憚地在線上通過各種形式獲取和聯(lián)系消費(fèi)者。如果企業(yè)群發(fā)的郵件有一個(gè)客戶起訴，那么企業(yè)就將面臨賠償。

另外，如果企業(yè)是一個(gè)多平臺(tái)操作的跨境電商賣家，如將Eaby、Wish等平臺(tái)上收集到的客戶個(gè)人信息通過EDM郵件等方式推廣到自己的亞馬遜店鋪，也屬于違規(guī)操作。

（四）社交媒體營(yíng)銷規(guī)則需相應(yīng)調(diào)整

跨境電商企業(yè)越來越重視新媒體內(nèi)容營(yíng)銷，而GDPR對(duì)社交媒體的影響巨大。Facebook、Instagram、Twitter、Youtube等大型在線服務(wù)和社交媒體公司正在更新他們的隱私政策和服務(wù)條款以適應(yīng)GDPR的規(guī)則。以Facebook為例，計(jì)劃從2018年9月30日開始禁止第三方數(shù)據(jù)中間商在其平臺(tái)上直接提供廣告定向等數(shù)據(jù)服務(wù)。

在社交平臺(tái)規(guī)則大幅調(diào)整的背景下，棲身平臺(tái)進(jìn)行廣告營(yíng)銷活動(dòng)的中小跨境電商企業(yè)也需進(jìn)行相應(yīng)調(diào)整。以前，跨境電商企業(yè)作為廣告主可以利用Facebook上Partner categories的功能，借助與Facebook有合作關(guān)系的第三方數(shù)據(jù)中間商，幫助他們?cè)贔acebook上進(jìn)行精準(zhǔn)定向。在線營(yíng)銷使用的第三方網(wǎng)絡(luò)行為數(shù)據(jù)，對(duì)應(yīng)的是PC端Cookies和手機(jī)等移動(dòng)端的設(shè)備號(hào)，追蹤設(shè)備的網(wǎng)絡(luò)行為得出的匿名脫敏數(shù)據(jù)，比如搜索、瀏覽歷史、分享話題等。然而在GDPR約束下，跨境電商企業(yè)廣告主將不能再直接使用這些數(shù)據(jù)用于營(yíng)銷活動(dòng)。

三、我國(guó)跨境電商企業(yè)可采取的應(yīng)對(duì)策略

GDPR要求企業(yè)將更大范圍的數(shù)據(jù)納入到數(shù)據(jù)管理體系中，而且不僅要保證數(shù)據(jù)的可用性，更需要對(duì)數(shù)據(jù)具有足夠的洞察力以確保合規(guī)。因此，GDPR對(duì)所有中國(guó)跨境電商企業(yè)都是一個(gè)挑戰(zhàn)，但同時(shí)也為中國(guó)跨境電商企業(yè)提供了一個(gè)審視自身并獲得更大發(fā)展的機(jī)遇。如果沒有GDPR強(qiáng)制要求采取行動(dòng)，可能很難促使中國(guó)企業(yè)花費(fèi)精力和資金去整合數(shù)據(jù)，實(shí)施嚴(yán)格的數(shù)據(jù)保護(hù)。

GDPR引入了從設(shè)計(jì)著手保護(hù)隱私和默認(rèn)保護(hù)隱私兩項(xiàng)原則，要求各類組織機(jī)構(gòu)在產(chǎn)品和服務(wù)的初始設(shè)計(jì)階段以及整個(gè)過程中，都將數(shù)據(jù)與隱私保護(hù)考慮在內(nèi)。我國(guó)跨境電商企業(yè)可采取以下應(yīng)對(duì)策略：一是從源頭調(diào)整企業(yè)內(nèi)部的數(shù)據(jù)治理體系；二是對(duì)照GDPR打補(bǔ)丁式查缺補(bǔ)漏。鑒于我國(guó)大多數(shù)跨境電商企業(yè)都是中小企業(yè)，自身實(shí)力與條件難以快速在初始階段建立起由上到下的隱私保護(hù)體系，因此本文主要探討第二種應(yīng)對(duì)策略。

（一）提升緊迫感

我國(guó)大部分跨境電商企業(yè)認(rèn)為GDPR與自己無關(guān)，企業(yè)對(duì)GDPR規(guī)范框架認(rèn)識(shí)不足，難以對(duì)相關(guān)判例、實(shí)施指南、標(biāo)準(zhǔn)文件和內(nèi)部規(guī)則等形成的綜合體系具備完整的認(rèn)知理解。而GDPR的一次罰款或制裁，就會(huì)令我國(guó)中小型跨境電商企業(yè)瀕臨破產(chǎn)。因此，企業(yè)管理層需要有緊迫感，清醒、全面地認(rèn)識(shí)到GDPR的影響，投入大量人力、財(cái)力進(jìn)行改進(jìn)，以盡量達(dá)到GDPR規(guī)范的要求。

（二）啟動(dòng)GDPR合規(guī)工作小組

僅靠企業(yè)IT人員是無法實(shí)現(xiàn)合規(guī)GDPR的，企業(yè)可以啟動(dòng)GDPR合規(guī)工作小組，號(hào)召銷售運(yùn)營(yíng)、財(cái)務(wù)以及企業(yè)內(nèi)所有涉及收集、分析和以其他方式利用客戶個(gè)人身份信息的人員參與其中。通過GDPR工作小組，可以更好地為那些技術(shù)和程序人員提供所需的信息，同時(shí)也可以更好地處理對(duì)企業(yè)產(chǎn)生影響的緊急事件。

（三）進(jìn)行風(fēng)險(xiǎn)評(píng)估

企業(yè)需要了解自己公司存儲(chǔ)和處理的歐盟公民數(shù)據(jù)，以及由此可能帶來的安全風(fēng)險(xiǎn)。因此，進(jìn)行風(fēng)險(xiǎn)評(píng)估勢(shì)在必行。企業(yè)必須全面了解其整個(gè)IT基礎(chǔ)設(shè)施，并清點(diǎn)所有的應(yīng)用程序（微博、微信等），同時(shí)需要了解哪些應(yīng)用程序能夠處理個(gè)人數(shù)據(jù)，特別是個(gè)別員工、團(tuán)隊(duì)和業(yè)務(wù)部門采用云應(yīng)用程序可能造成違規(guī)。此外，企業(yè)員工使用自己的移動(dòng)設(shè)備訪問客戶、合作伙伴等個(gè)人識(shí)別信息的行為也會(huì)對(duì)GDPR合規(guī)造成威脅，移動(dòng)設(shè)備需納入風(fēng)險(xiǎn)評(píng)估中。

（四）聘用數(shù)據(jù)保護(hù)官

GDPR規(guī)定擁有250名或以上員工處理敏感數(shù)據(jù)的組織必須指定數(shù)據(jù)保護(hù)官（DPO）。少于250名員工的組織也需要指定DPO，根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定。鑒于我國(guó)跨境電商企業(yè)普遍人員規(guī)模較小，加上GDPR新規(guī)允許一名DPO同時(shí)為多個(gè)企業(yè)工作，所以可以選擇聘請(qǐng)一名兼職DPO人員，并為DPO獨(dú)立履行職責(zé)提供充足的資源。

（五）加強(qiáng)員工管理與培訓(xùn)，制定獎(jiǎng)懲計(jì)劃

企業(yè)想要確保GDPR合規(guī)，就需要進(jìn)行持續(xù)地監(jiān)控和改進(jìn)操作，加強(qiáng)人員管理與培訓(xùn)，通過制定獎(jiǎng)懲計(jì)劃來確保員工遵守?cái)?shù)據(jù)保護(hù)。例如：將關(guān)于GDPR合規(guī)的條款加到員工合同中；將獎(jiǎng)懲與員工獎(jiǎng)金和福利掛鉤等。

四、結(jié)語

在GDPR的影響下，用戶數(shù)據(jù)與隱私的安全性尤其重要。“長(zhǎng)臂管轄”、 個(gè)人信息概念泛化和數(shù)據(jù)主體的權(quán)利類型增加對(duì)我國(guó)跨境電商企業(yè)產(chǎn)生巨大影響，給企業(yè)的銷售和運(yùn)營(yíng)等具體業(yè)務(wù)開展帶來了挑戰(zhàn)。企業(yè)應(yīng)將GDPR視為一種新的機(jī)遇，及時(shí)審視現(xiàn)有商業(yè)操作，通過研究GDPR合規(guī)措施，促使企業(yè)的商業(yè)模式更加清晰明確，從而使整個(gè)跨境電商生態(tài)環(huán)境更加完善。

[參考文獻(xiàn)]

[1]張曉.數(shù)字經(jīng)濟(jì)發(fā)展的邏輯：一個(gè)系統(tǒng)性分析框架[J].電子政務(wù)，2018 （6）.

[2]楊一澤.歐盟個(gè)人數(shù)據(jù)保護(hù)條例適用研究[D].哈爾濱工業(yè)大學(xué)，2017.

[3]段利艷，王志輝，周靜麗.歐盟GDPR法規(guī)對(duì)企業(yè)的影響及其對(duì)策分析[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018 （4）.

[4]桂暢旎.歐盟通用數(shù)據(jù)保護(hù)法案的影響與對(duì)策[J].中國(guó)信息安全，2017 （7）.

[5]許多奇.個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國(guó)際格局及中國(guó)應(yīng)對(duì)[J].法學(xué)論壇，2018 （5）.

[6]京東法律研究院.歐盟數(shù)據(jù)憲章一般數(shù)據(jù)保護(hù)條例GDPR評(píng)述及實(shí)務(wù)指引[M].法律出版社， 2018.

[7]田貴生.解析GDPR及對(duì)中國(guó)涉歐企業(yè)的影響[J].對(duì)外經(jīng)貿(mào)實(shí)務(wù)，2018（7）.

（責(zé)任編輯：?jiǎn)毯?梁宏偉）